La mayoría de las organizaciones se esfuerzan por reducir sus costos operativos y mejorar la eficiencia de sus redes. Pero con frecuencia surgen riesgos y costos imprevistos asociados con la infraestructura que conecta a los servidores internamente y externamente con terceros y otros dispositivos. Si no se cuenta con una “visibilidad agnóstica” del tráfico y de la actividad de la red, los hackers siempre encontrarán formas de entrar a su red.
No contar con la visibilidad de la red puede permitirle a los creadores de ransomware readaptar efectivamente su red para monetizar sus datos contra usted mismo. Y lo que sigue expondrá a la organización a una serie de riesgos y costos imprevistos, muchos de los cuales superarán a la demanda de rescate original.
El ransomware solía ser más un problema de los consumidores o de los usuarios finales. Hoy, los grupos criminales están infiltrando el ransomware a su red, y a cada servidor, base de datos, archivo y respaldo del sistema, y se expone al riesgo de convertirse en un motor de extorsión. Si bien es difícil estimar con precisión el impacto que tiene la epidemia de ransomware empresarial en todo el mundo, Trend Micro logró detener 99 millones de amenazas entre octubre del año pasado y abril de 2016. Otro indicio de lo serio que es el problema se conoció a finales de marzo de 2016, cuando el US-CERT del Departamento de Seguridad Nacional y el Centro de Respuesta a Incidentes Cibernéticos (CCIRC) de Canadá, lanzaron una alerta para las organizaciones sobre los peligros que plantea el ransomware.
La alerta enumeraba algunas de las repercusiones potenciales para las empresas:
- Pérdida temporal o permanente de información confidencial o propietaria y de propiedad intelectual
- Interrupción de las operaciones regulares
- Pérdidas financieras incurridas para restablecer los sistemas y los archivos
- Daño potencial para la reputación de las organizaciones.
Al encriptar los datos y/o cerrar el acceso a un sistema, un servidor o aplicación, su adversario buscará el pago de la extorsión a cambio de la promesa de que los datos volverán a la normalidad. Desde la perspectiva de la red, aquí hay más en juego que el hecho de pagar o no pagar. Las organizaciones deben considerar lo siguiente:
- La demanda de rescate inicial podría ser la punta del iceberg. Parte de su estrategia, incluyendo la decisión de pagar o no, debe incluir una visión clara de la dimensión del problema dentro de su red. Sin esto usted podría estar dando paso a etapas adicionales de un ataque involuntariamente
- Es vital conocer la fuente, el medio y el método de infiltración para asegurar que usted no esté siendo utilizado para etapas adicionales de un ataque de ransomware; también ayuda a cerrar cualquier brecha expuesta que pudiera haber permitido que el ransomware entrara a su red.
- Tener visibilidad de toda la actividad maliciosa de la red para que usted pueda examinar efectivamente el problema y calcular el nivel de riesgo actual y futuro. ¿Puede usted identificar no sólo el punto de entrada sino también los intentos de moverse dentro de su red, qué servidores han sido afectados y, finalmente, el plan de juego de los sombreros negros?
- Identificar rápidamente los indicadores de compromiso y publicar éstos en otros activos de la red como un medio para prevenir un brote o frustrar los ataques posteriores.
- Use todos estos conocimientos para mejorar continuamente su estrategia de seguridad para los empleados y los dispositivos. ¿Sus dispositivos no asegurados fueron la causa? ¿Qué empleados fueron afectados? ¿Se utilizaron las credenciales de terceros confiables?
Usted no puede defender su red contra lo que no puede ver
El ransomware puede infiltrarse a su red por cualquier recoveco o grieta que no se esté monitoreando o que parezca normal a simple vista. Para remediar lo que equivale a una “catarata de ransomware” dentro de su red, usted necesita tener una vista clara del tráfico de la red, los puertos y los protocolos de los segmentos físicos y virtuales de su red. Combinada con el poder de las amplias técnicas de detección como el escaneo avanzado de amenazas, análisis de sandbox a la medida y el conocimiento correlacionado de las amenazas, usted tendrá el equivalente a una cirugía ocular con láser: tendrá visibilidad ilimitada de los intentos de secuestrar a su red junto con los sistemas, los datos de las aplicaciones y la propiedad intelectual.
El valor de obtener dicha visibilidad es muy amplio:
- Detecte los intentos de usar credenciales o dispositivos confiables de terceros como una plataforma que puede usar el ransomware para entrar a su red. ¿Su proveedor está tratando de autenticar una aplicación a las 3 a.m.?
- Identifique los sistemas, aplicaciones o dispositivos no gestionados que están asociados con indicadores de infiltración de ransomware. ¿La aplicación TOR en un servidor de empleados está vinculada con una dirección de IP conocida por comando y control/malware avanzado?
- Correlacionar todos los aspectos de un intento de sembrar ransomware en su red en el ciclo de vida de los ataques completo. ¿Los IoCs que usted ha encontrado que entran por la web o el correo electrónico aparecieron en todos los puntos de su red? ¿Qué otros protocolos y segmentos de su red son afectados por este ataque?
Usted necesita una estrategia de Defensa de la Red para evitar que el ransomware se infiltre y se propague dentro de su red. Trend Micro Deep Discovery Inspector es solamente un dispositivo diseñado para detectar cargas maliciosas, tráfico malicioso, comunicaciones C&C, el comportamiento de los atacantes, las explotaciones y otras actividades que revelen un ataque de ransomware en el tráfico y todos los segmentos de su red. La visibilidad que Deep Discover Inspector ofrece puede compartirse con Trend Micro y con herramientas de seguridad de terceros para ayudar a detener la propagación del ransomware a otros endpoints y servidores.
Deep Discovery Inspector ofrece:
Detección avanzada en todo el tráfico de la red, los puertos y más de 100 protocolos de red para identificar el ransomware y el comportamiento malicioso de la red en el ciclo de vida completo de los ataques.
Análisis de sandbox diseñado para replicar su entorno de TI con el fin de detectar las modificaciones hechas a los archivos, la encripción y el comportamiento malicioso que delatan un ataque de ransomware.
Integración con la protección de Trend Micro para gateways de correo y web, endpoints y servidores, y soluciones de terceros para ofrecer una defensa contra amenazas conectadas donde se comparte la nueva información de las amenazas a través de múltiples niveles.
En resumen, se trata de dar los pasos proactivos para limitar el impacto y reducir el riesgo de un ataque de ransomware repetido. Esto significa adoptar un método de defensa a profundidad: una arquitectura de seguridad en niveles que establezca la visibilidad agnóstica de toda la actividad de la red en su centro. Combinada con la protección del correo electrónico y la web y la protección de endpoints y servidores, le ayudará a minimizar completamente el riesgo y los costos asociados con la epidemia moderna de ransomware.
En la parte final de la serie hablaremos de cómo las organizaciones pueden proteger sus servidores para mitigar aún más el riesgo.
Leave a Reply